worter

摘要： 转载地址：https://www.cnblogs.com/xiaozi/p/13603926.html 构建内网隐蔽通道，从而突破各种安全策略限制，实现对目标服务器的完美控制。 当我们从外网成功获得攻击点的时候，通过反弹shell、端口转发、内网穿透等技巧，来进一步入侵内网服务器。当我们取得内网目标 阅读全文

摘要： 转载地址：http://www.phpddt.com/reprint/csrf.html（原文地址转载，地址暂时无法访问） https://blog.csdn.net/xiaoxinshuaiga/article/details/80766369（可访问） 跨站请求伪造（英语：Cross-site 阅读全文

摘要： 一.SSL和TLS 1.SSL SSL：（Secure Socket Layer，安全套接字层），为Netscape所研发，用以保障在Internet上数据传输之安全，利用数据加密(Encryption)技术，可确保数据在网络上传输过程中不会被截取。当前版本为3.0。它已被广泛地用于Web浏览器与服 阅读全文

摘要： S/MIME协议全称“安全的多功能互联网邮件扩展”（Secure/Multipurpose Internet Mail Extensions），是通过在RFCl847中定义的多部件媒体类型在MIME中打包安全服务。它提供验证、信件完整性、数字签名和加密。 1.发展历史 S/MIME有三个版本，目前使 阅读全文

摘要： PGP 是 1990 年左右由 菲利普·齐墨尔曼（Phil Zimmermann）个人编写的密码软件，现在依然在世界上被广泛使用。 PGP 这个名字是 Pretty Good Privacy（很好的隐私）的缩写。GNU Privacy Guard（GnuPG）是一款基于 OpenPGP 标准开发的密 阅读全文

摘要： 安全电子交易（Secure Electronic Transaction，简称SET）：由美国Visa和MasterCard两大信用卡组织联合国际上多家科技机构，共同制定了应用于Internet上的以银行卡为基础进行在线交易的安全标准。采用公钥密码体制和X.509数字证书标准，主要应用于保障网上购物 阅读全文

摘要： 一.软件安全面临的问题 1.历史软件安全的难题 传统编程人员没有接受过安全教育 操作系统和应用程序一开始就没有建立安全架构 软件开发不是面向安全，后期集成很困难 2.不关注安全的主要原因 安全不是开发的主要考虑因素 很多安全从业人员不是开发人员，无法第一时间提出合理化建议 开发软件没有重视安全问题 阅读全文

摘要： 一.运营基础概念 1.关键主题 1)维护运营弹性 关键业务有弹性，保持连续性，制订有应急预案，实时监控和响应 2)保护有价值的资产 提供各种资产的日常维护 保护资产不被破坏 3)控制系统账号 对各种帐号（尤其是特权帐号）的检查，平衡用途 4)有效管理安全服务 IT服务的变更、配置和问题管理 安全配置 阅读全文

摘要： 一.基本概念 1.基本目标 安全评估与测试实现以下目标： 衡量系统和能力开发进展； 专长就是对系统生命周期在开发过程提供系统强度和弱点的初期认知； 为协助在开发、生产、运营和维护系统能力过程中的风险管理提供相应的知识； 能够在部署系统之前识别技术的、操作的和系统缺陷以便开展适当的、及时的纠正行为。 阅读全文

摘要： Kerberos 是一种网络认证协议，其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下， Kerberos 阅读全文